Naja, auch das ist eigentlich weniger verblüffend als reisserisch.
Es wird zwar nicht das einmalige und geräteunabhängige Passwort benötigt, dafür aber ein egräteabhängiges Token, d.h. quasi auch ein Passwort, aber eben ein ständig wechselndes und gerätebezogenes Passwort. Um an das zu kommen, benötigt man physikalischen Zugriff auf das Gerät.
Und schon ist das ganze nicht mehr so sensationell. Ein Gerät, welches auf einem Server für eine gewisse Zeit eingeloggt bleiben soll, benötigt dafür eben irgendeinen Schlüssel. Entweder das Kennwort selber oder einen zeitlich beschränkten Schlüssel. Dieser muss irgendwie auf dem gerät gespeichert sein und ist somit bei physikalischem Zugriff auch auslesbar. Das ist bei allen Diensten so, nicht nur bei iOS und iCloud-Backup.
Im Web werden solche Daten oft als Cookie hinterlegt (Session-ID) und wenn ich den klaue, kann ich auch alles mögliche machen.
Einzige Abhilfe ist, dass das Kennwort/der Schlüssel bei jeder Transaktion neu eingegeben werden muss. D.h. dann aber auch, kein automatische Backup/Sync/Push/Datenabgleich...